Persistence

eradicating-malware-from-infected-systems ist eine Skill für die Cybersecurity-Vorfallsreaktion zur Entfernung von Malware, Backdoors und Persistenzmechanismen nach der Eindämmung. Sie bietet Workflow-Hinweise, Referenzdateien und Skripte für die Bereinigung von Windows- und Linux-Systemen, das Rotieren von Anmeldedaten, die Behebung der Ursache und die Validierung.

Die Skill "detecting-wmi-persistence" hilft Threat Huntern und DFIR-Analysten dabei, WMI-Ereignisabonnement-Persistenz in Windows-Telemetrie mit den Sysmon-Ereignis-IDs 19, 20 und 21 zu erkennen. Nutzen Sie sie, um bösartige Aktivitäten von EventFilter, EventConsumer und FilterToConsumerBinding zu identifizieren, Funde zu validieren und Angreifer-Persistenz von legitimer Admin-Automatisierung zu unterscheiden.

conducting-pass-the-ticket-attack ist eine Skill für Security Audits und Red-Team-Arbeiten zum Planen und Dokumentieren von Pass-the-Ticket-Workflows. Sie hilft dabei, Kerberos-Tickets zu prüfen, Erkennungssignale zuzuordnen und mit der conducting-pass-the-ticket-attack Skill einen strukturierten Ablauf für Validierung oder Bericht zu erstellen.

Leitfaden zu conducting-domain-persistence-with-dcsync für autorisierte Sicherheitsprüfungen in Active Directory. Erfahren Sie, wie Installation, Nutzung und Ablauf funktionieren, um DCSync-Berechtigungen, KRBTGT-Exposition, Golden-Ticket-Risiken und geeignete Remediationsschritte mit den enthaltenen Skripten, Referenzen und der Berichtsvorlage zu bewerten.